W32/Bugbear.A, un gusano de rápida propagación
http://www.vsantivirus.com/bugbear-a.htm



Nombre: W32/Bugbear.A (Tanatos)
Tipo: Gusano de Internet
Alias: W32/Bugbear-A, Tanat, Tanatos, W32/BugBear-mm, WORM_BUGBEAR.A, W32/Bugbear, I-Worm.Bugbear, W32/Tanat, I-Worm.Tanatos, W32.Bugbear@mm, W32/Bugbear.A@mm, W32/Bugbear.worm, 
Win32Bugbear, Worm/Tanatos, WORM_NATOSTA.A
Fecha: 30/set/02
Plataforma: Windows 32-bits
Tamaño: 50,664 bytes (50,688 bytes)
Reportado por primera vez: Malasia
Propagación: Alta

Este gusano, escrito en Microsoft Visual C/C++ y comprimido con la utilidad UPX, tiene la capacidad de propagarse a través de su propio SMTP (Simple Mail Transfer Protocol), además de redes compartidas.

El mensaje no contiene ningún texto en su cuerpo, y puede traer alguno de los siguientes asuntos:

$150 FREE Bonus!
25 merchants and rising
Announcement
bad news
CALL FOR INFORMATION!
click on this!
Confirmation of Recipes…
Correction of errors
Daily Email Reminder
empty account
ENCUESTA.xls
fantastic
free shipping!
Get 8 FREE issues - no risk!
Get a FREE gift!
Greets!
hello!
history screen
hmm..
I need help about script!!!
Interesting...
Introduction
its easy
Just a reminder
Lost & Found
Market Update Report
Membership Confirmation
My eBay ads
New bonus in your cash account
New Contests
new reading
Payment notices
Please Help...
Report
SCAM alert!!!
Sponsors needed
Stats
Today Only
Tools For Your Online Business
update
various
Warning!
Your Gift
Your News Alert

El adjunto, puede ser uno de los siguientes:

Setup.exe
3 July 2002.doc.pif
Feliz Cumpleaños.doc.scr

En el campo "Para:", el mensaje utiliza la lista de contactos de la libreta de direcciones de Windows del usuario infectado (WAB, Windows Address Book). También busca direcciones en archivos con las siguientes extensiones (en el campo "De:"):

.dbx
.eml
.mbx
.mmf
.nch
.tbb

Obtiene los datos del servidor SMTP de la siguiente clave:

HKCU\SOFTWARE\Microsoft\Internet Account Manager\Accounts

El gusano hace uso de una conocida vulnerabilidad en Internet Explorer 5.01 y 5.5 que no han sido actualizados con los parches respectivos. Internet Explorer 6 es invulnerable a esta falla. La falla permite la autoejecución del adjunto con solo leer el mensaje o verlo en el panel de vista previa del Outlook y Outlook Express, y consiste en la suplantación en la etiqueta "Content-Type: audio/x-midi;", por un archivo ejecutable, en lugar de un archivo de audio por ejemplo (name=Feliz Cumpleaños.doc.scr).

El gusano se copia a si mismo en la carpeta System de Windows, con un nombre de cuatro letras seleccionadas al azar con extensión .exe. La primer letra del nombre suele ser la "F".

Esta carpeta normalmente es 'C:\Windows\System' en Windows 9x/ME, o puede ser 'C:\WinNT\System32' en Windows NT/2000 y 'C:\Windows\System32' en Windows XP).

Por ejemplo:

C:\Windows\System\F***.exe

(Los asteriscos representan letras al azar).

También modifica el registro para autoejecutarse en cada nuevo reinicio:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
[nombre] = C:\Windows\Sistem\[nombre]

También crea una copia de si mismo en la carpeta de autoinicio de Windows, lo que también hace que se ejecute al iniciarse el sistema operativo:

En Windows 9x:

C:\WINDOWS\Start Menu\Programs\Startup\C**.EXE

o

C:\WINDOWS\Menú Inicio\Programas\Inicio\C**.EXE

En Windows 2000, NT:

C:\Documents and Settings\[usuario]\Start Menu\Programs\Startup\C**.EXE

Los asteriscos son letras al azar.

Genera también un archivo .DLL con nombre al azar, relacionado con la captura de lo tecleado por la víctima, por lo que el gusano también posee capacidad de "keylogger". También crea estos archivos:

C:\Windows\System\iccyoa.dll
C:\Windows\System\lgguqaa.dll
C:\Windows\System\roomuaa.dll
C:\Windows\okkqsa.dat
C:\Windows\ussiwa.dat

El gusano actúa además como troyano de acceso remoto, habilitando el puerto TCP 36794 para recibir ordenes de un posible atacante.

El gusano intenta además copiarse en las carpetas de inicio de las computadoras remotas que estén en red, con el nombre de C**.EXE, donde los asteriscos son letras seleccionadas al azar.

Finalmente, también finaliza varios productos antivirus y cortafuegos que se estén ejecutando en el momento de la ejecución, desactivando las siguientes tareas:

_avp32.exe
_avpcc.exe
_avpm.exe
Ackwin32.exe
Anti-Trojan.exe
Apvxdwin.exe
Autodown.exe
Avconsol.exe
Ave32.exe
Avgctrl.exe
Avnt.exe
Avp.exe
Avp32.exe
Avpcc.exe
Avpdos32.exe
Avpm.exe
Avptc32.exe
Avpupd.exe
Avsched32.exe
Avwin95.exe
Avwupd32.exe
Blackd.exe
Blackice.exe
Cfiadmin.exe
Cfiaudit.exe
Cfinet.exe
Cfinet32.exe
Claw95.exe
Claw95cf.exe
Cleaner.exe
Cleaner3.exe
Dvp95.exe
Dvp95_0.exe
Ecengine.exe
Esafe.exe
Espwatch.exe
F-Agnt95.exe
Findviru.exe
F-Prot.exe
Fprot.exe
F-Prot95.exe
Fp-Win.exe
Frw.exe
F-Stopw.exe
Iamapp.exe
Iamserv.exe
Ibmasn.exe
Ibmavsp.exe
Icload95.exe
Icloadnt.exe
Icmon.exe
Icsupp95.exe
Icsuppnt.exe
Iface.exe
Iomon98.exe
Jedi.exe
Lockdown2000.exe
Lookout.exe
Luall.exe
Moolive.exe
Mpftray.exe
N32scanw.exe
Navapw32.exe
Navlu32.exe
Navnt.exe
Navw32.exe
Navwnt.exe
Nisum.exe
Nmain.exe
Normist.exe
Nupgrade.exe
Nvc95.exe
Outpost.exe
Padmin.exe
Pavcl.exe
Pavsched.exe
Pavw.exe
Pccwin98.exe
Pcfwallicon.exe
Persfw.exe
Rav7.exe
Rav7win.exe
Rescue.exe
Safeweb.exe
Scan32.exe
Scan95.exe
Scanpm.exe
Scrscan.exe
Serv95.exe
Smc.exe
Sphinx.exe
Sweep95.exe
Tbscan.exe
Tca.exe
Tds2-98.exe
Tds2-Nt.exe
Vet95.exe
Vettray.exe
Vkserv.exe
Vscan40.exe
Vsecomr.exe
Vshwin32.exe
Vsstat.exe
Webscanx.exe
Wfindv32.exe
Zonealarm.exe

La forma de eliminarlo manualmente y otra información, será aportada a la brevedad en nuestro sitio, y en nuestro próximo boletín.


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com


        

VEA Y FIRME NUESTRO LIBRO DE VISITA
PARA ENTRAR DEBEIS TOCAR Y HACER UN CLICK AL 
 LIBRO  QUE APARECE ABAJO